Nikt chyba nie powie, że nasze komputery są bezpieczne.

Jeżeli znajdzie się taki delikwent, to albo jest nad wyraz dobrym administratorem i potrafi sobie poradzić z większością dziur, albo po prostu jego narcyzm mu już bokiem wychodzi. Doprowadzenie systemu do stanu “spokojnego snu” jest naprawdę bardzo ciężkie w dzisiejszych czasach. Jak więc wyglądają statystyki aktywności wirusów teraz?

Kilka ciekawych przypadków robaczków świętojańskich

Nie jest dobrze, bo zaczniemy może od informacji, która wcale nie dotyczy potentatów rynkowych, jeżeli chodzi o “wirusowe zoo”. W tym miesiącu pojawił się trojan, który buszuje po routerach pod kontrolą systemu Linux. Niby stosunek wielkości złośliwego oprogramowania na Windows/OSX/Android do Linuxa jest po prostu dziecinnie śmieszna, to jednak takie informacje zawsze robią wrażenie.

Jako kolejny, który pojawił się niedawno i jest godny uwagi, to robal, który sam potrafi rozsyłać się po sieci, a specjaliści odkryli jeszcze “złośliwego pana” typu downloader, w dokumentach MS Wordowych. Jest to instalator niechcianych aplikacji należącego do niechlubnej rodzinki LoadMoney. Robi się wesoło.

troian_virus_worm_429035

Złośliwości, które pojawiły się na Android może nie będziemy liczyć, bo macie na świeżo na ten temat newsy u nas na blogu, ale postaramy się wspomnąć o nich na koniec artykułu.

Jest jednak jeden kolega sieciowy, który zasługuje na tytuł “złośliwiec miesiąca”.

Żeruje on na walucie sieciowej i pomaga wykradać bitcoiny. Ten uroczy misiaczek zyskał nazwę Trojan.BtcMine.737. Co jest w nim takiego, że postanowiliśmy mu poświęcić cały akapit. Otóż ten trojan to przykład “jajka niespodzianki”, albo lepiej nawet matrioszki. Składa się z kilku, a dokładnie z trzech części, z których każda jest osobnym instalatorem. Mniam mniam. Jednak robi się ciekawie. Pierwszy z nich to zabawka typu dropper. Kasuje on wszystkie swoje procesy i wypakowuje również ze swojego kodu plik wykonywalny kolejnego instalatora. Plik ten osadza się w folderze tymczasowym, uruchamia go i kasuje plik oryginalny. Ciekawy mechanizm, ale popatrzmy dalej. Instalator numer dwa robi już coś bardziej sieciowego. Aktywuje się i zapisuje plik wykonywalny do jednego z kilku folderów. Następnie  po prostu uruchamia go i replikuje się do kilku folderów, ustawiając jeden z nich jako dostępny z sieci lokalnej. Co powinno nas zaniepokoić w takim momencie? Kopie instalatora takiego wyglądają jak archiwa WinRAR o nazwie Key. W kolejnym kroku nasza “zabaweczka” przeprowadza proces kopiowania siebie do katalogów głównych na wszystkich dyskach twardych naszego systemu, a później robi sobie spacer po wszystkich komputerach w Sieci/Otoczeniu Sieciowym. Używa do tego loginów i haseł w zaimplementowanych w sobie listach. Jakby tego było mało sam sobie stworzy AP WiFi i po próbie połączenia z innym komputerze zreplikuje się na niego bez najmniejszych oporów. Wygląda jak opowieść z filmu hackerskiego? Nie! To możecie bez problemu złapać na dysk!

Nowa złota kolekcja botnetowa

Teraz zmiana banana trochę i zajmiemy się botnetami. Szczególnym przypadkiem jest rodzina Rmnet, która rozpowszechnia się bez jakiejkolwiek interwencji użytkownika. Mogą one podrzucać kod do stron www, kraść ciasteczka, oraz zapisywane hasła na przykład do FTP. Daje to hackerom duże możliwości zaszkodzenia ofierze.

Bez nazwy2

Z aktywnych dalej botnetów mamy w sieci jeszcze Win32.Sector, a potrafi on nie mało:

  • pobiera pliki wykonywalne poprzez sieć P2P i uruchamia je na zainfekowanych maszynach;
  • wstrzykuje swój kod w działające procesy;
  • zapobiega działaniu niektórych antywirusów i blokuje dostęp do stron www ich producentów;
  • infekuje pliki na dyskach lokalnych, nośnikach wymiennych (gdzie malware tworzy podczas procesu infekcji plik autorun.inf) i w folderach współdzielonych.

Linux także narażony

Jak wspomniałam wyżej, nie tylko Windows i Android dostali w prezencie kilka nowych wrogów bezpieczeństwa. Okazuje się, że ostatnio znacznie wzrosła aktywność deweloperów zagrożeń stricte na system Linux. Kiedyś słyszało się o pojedynczych przypadkach takich ataków raz na może pół roku. Teraz, z ostatniego miesiąca mamy pokaźną listę robaczków:

  • Linux.PNScan.1 – przypuszczenia są takie, że wirus ten był instalowany na routerach z systemem Linux przez twórców bezpośrednio, wykorzystali oni podatność ShellShock uruchamiając skrypt z istotnymi ustawieniami, program zostaje zainstalowany na urządzeniach przez trojany należące do rodziny Linux.BackDoor.Tsunami, potrafi złamać hasło dostępu do routera i wtedy program ładuje złośliwy skrypt, pobiera i instaluje backdoory zgodne z architekturą routera, potrafi również pobrać backdoora;
  • Trojan.Mbot – hakowanie stron www;
  • Perl.Ircbot.13 –  wyszukiwanie podatności w www stworzonych z użyciem CMS i w  www wykorzystujących systemy zarządzania sklepami.

tux-linux

Szyfrowanie jest w modzie

W sieci ostatnimi czasy pojawiło się także kilka nowych zagrożeń z gatunku ransomware. Są to aplikacje, które potrafią zaszyfrować nasze pliki na dysku i za ich odszyfrowanie żądać okupu. Usunięcie ich nie jest wcale takie łatwe, ale też nie jest niemożliwe. Ostatnio nawet przedstawiliśmy Wam listę sposobów na usunięcie ransomware ze swojego komputera. Do najbardziej popularnych nowych bywalców tego gatunku należą:

  • Trojan.Encoder.567
  • Trojan.Encoder.858
  • BAT.Encoder

LOCKED-COMPUTER_2736363b

Pozostałe, czyli top 12 trojanów

Nasz powyższy pan jest poza konkurencją, ale mamy jeszcze kilku nowych “przyjaciół”, którym warto poświecić kilka linijek.

Bez nazwy

  • Trojan.LoadMoney- rodzinka uroczych trojanów typu downloader, która jest generowana przez serwery należące do programu partnerskiego LoadMoney (znów oni), teaplikacje pobierają i instalują w zainfekowanym systemie niechciane programy;
  • Trojan.DownLoad3.35967- ten trojanek potrafi pobierać z Internetu inne złośliwe oprogramowanie i instalować je na zainfekowanym komputerze;
  • Trojan.Crossrider- rodzinka trojanów, zaprojektowana do wyświetlania reklam użytkownikom Internetu;
  • Trojan.Click- rodzinka złośliwych aplikacji, zaprojektowanych do generowania ruchu dla stron www, poprzez przekierowywanie użytkowników na odpowiednie witryny;
  • Trojan.Siggen6.33552- złośliwy program zaprojektowany do instalowania innego malwarka;
  • Trojan.LoadMoney- rodzina trojanów typu downloader, generowana przez serwery należące do programu partnerskiego LoadMoney. Te aplikacje pobierają i instalują w zainfekowanym systemie niechciane programy;
  • Trojan.Installmonster- ta rodzina złośliwych aplikacji stworzona została w ramach programu partnerskiego Installmonster. Pobierają one i instalują w komputerach ofiar różne niechciane bajery;
  • Trojan.DownLoad3.35967 – to znów jest trojan potrafiący downloadować z Internetu inne złośliwe oprogramowanie i instalować je na zainfekowanym komputerze;
  • Trojan.Encoder.567- złośliwa apka, która jest członkiem rodzinki trojanów ransomware, czyli tych dzieciaków od szyfrowania plików i żądania okupu. Ten program potrafi szyfrować ważne pliki użytkownika, m.in.  pliki typu: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx;
  • Trojan.PWS.Multi.1690- trojan stricte bankowy, który został zaprojektowany do wykradania poufnych informacji zapisanych na zainfekowanym komputerze;
  • Trojan.Oficla- ekipa trojanów dystrybuowanych tylko i wyłacznie w wiadomościach e-mail, gdy jeden z tych trojanów zainfekuje system, to potrafi bez problemu ukryć swoje dalsze działania, podłącza wtedy komputer do botnetu, pozwala cyberprzestępcom na ładowanie innego złośliwego oprogramowania na zainfekowany komputer, a gdy system zostanie zainfekowany, Ci, którzy uruchomili botnet, uzyskują kontrolę nad komputerem ofiary i potrafią dzięki takiemu połączeniu instalować na tym komputerze dowolne aplikacje;
  • Trojan.PWS.Stealer- ta banda potrafi wykradać hasła oraz inne dane wrażliwe napisane na dysku.

Na koniec najlepsze – Android

Na sam koniec zostawiliśmy niezaprzeczalnego “miszcza” ostatnich dni. System ten chyba przeszedł samego siebie w ilości dziur i expoloitów, jakie na niego wyszły. Prawda jest taka, że o wielu nawet nie pisaliśmy, bo witki nam opadały ze zdziwienia, jak można takiego bajzlu sobie narobić. Trzeba też przyznać, ze Antek dużo stracił w ciągu ostatniego czasu i jeżeli klienci zaczęli pisać: “przechodzę na Windows Phone” to była dla Google chyba jedna z najgorszych możliwych obraz, aczkolwiek zasłużona. Większość zdarzeń opisywaliśmy u nas na blogu, choćby nawet aplikacje zmieniającą PIN do telefonu, ale postaramy się teraz podsumować tylko grupy zagrożeń, jakie pojawiły się na rynku ostatnimi czasy:

android_holes

Statystyki nie kłamią i nie wyglądają zachęcająco. Rynek zagrożeń sieciowych coraz bardziej rośnie w siłę i zaczyna uderzać w punkty, w które do tej pory nie uderzał. Ciężko jest znaleźć w stuprocentach bezpieczny system, ale my dalej mimo tych kliku wirusików, które się pojawiły polecamy Linux. W porównaniu do konkurentów jednak dalej robi dobrą robotę, a zagrożenia pojawiły się na systemy stricte routerowe, a nie desktopy.  Prawda jest taka, że mało która znana aplikacja na niego działa poprawnie (PlayOnLinux + Wine nie dają jeszcze rady z nowym Adobe), ale za cenę swojego bezpieczeństwa i anonimowości naszych danych zrezygnujemy z tych kilku aplikacji zastępując je gorszymi wersjami OpenSource.

Bernard to redaktor naczelny SpeedTest.pl. Jest analitykiem i pasjonatem gier. Studiował na Politechnice Wrocławskiej informatykę i zarządzanie. Lubi szybkie samochody, podróże do egzotycznych krajów oraz dobre książki z kategorii fantastyka.